你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 防火墙日志和指标概述

可以使用Azure 防火墙日志和指标来监视防火墙中的流量和操作。 这些日志和指标提供多个基本用途,包括:

  • 流量分析:使用日志检查和分析通过防火墙传递的流量。 这包括检查允许和拒绝的流量、检查源 IP 地址和目标 IP 地址、URL、端口号、协议等。 这些见解对于了解流量模式、识别潜在安全威胁以及排查连接问题至关重要。

  • 性能和运行状况指标:Azure 防火墙指标提供性能和运行状况指标,例如数据处理、吞吐量、规则命中计数和延迟。 监视这些指标以评估防火墙的总体运行状况、识别性能瓶颈并检测任何异常。

  • 审核线索:活动日志允许审核与防火墙资源相关的操作、捕获创建、更新或删除防火墙规则和策略等操作。 查看活动日志有助于维护配置更改的历史记录,并确保符合安全性和审核要求。

查看和存储

可以通过Azure 门户访问日志和指标,其中包含用于存储和分析的多个选项:

  • Log Analytics 工作区(由 Azure Monitor 提供支持):集中 Log Analytics 工作区中的Azure 防火墙日志和指标,以便进行高级分析、自定义仪表板创建,以及基于特定指标阈值设置警报。

  • 存储帐户:将日志存储在Azure 存储帐户中,以便长期保留并与外部日志分析工具集成。

  • 事件中心:将Azure 防火墙日志流式传输到 Azure 事件中心,以便实时处理、分析或与第三方 SIEM 解决方案集成。

  • 合作伙伴解决方案:将Azure 防火墙日志发送到第三方合作伙伴解决方案,以便进一步分析和关联其他安全数据。

Azure 防火墙的日志和指标配置设置通常通过Azure 门户完成。 这样,就可以指定日志和指标的目标,并设置针对组织的监视和安全要求定制的保留和警报配置。

结构化日志

使用结构化日志监视Azure 防火墙,该日志使用预定义架构来构建日志数据,以便轻松搜索、筛选和分析。 这些日志包括源 IP 地址和目标 IP 地址、协议、端口号和防火墙操作等信息。 使用特定于资源表而不是现有的 AzureDiagnostics 表设置结构化日志作为主日志类型设置优先级。 若要启用这些日志并浏览日志类别,请参阅 Azure 结构化防火墙日志

旧版Azure 诊断日志

旧版 Azure 诊断日志是原始Azure 防火墙日志查询,以非结构化或自由格式的文本格式输出日志数据。 Azure 防火墙旧日志类别使用 Azure 诊断 模式,在 AzureDiagnostics 表中收集整个数据。 如果需要结构化日志和诊断日志,则需要为每个防火墙创建至少两个诊断设置。 若要启用这些日志并浏览日志类别,请参阅Azure 防火墙诊断日志

指标

Azure Monitor 中的指标是描述特定时间系统方面的数字值。 每分钟收集一次,由于指标的频繁采样,指标可用于警报。 使用相对简单的逻辑快速配置警报。 有关可用指标和配置Azure 防火墙警报,请参阅Azure 防火墙指标和警报

活动日志

默认情况下会收集活动日志条目,可在 Azure 门户中查看它们。 使用 Azure 活动日志(以前称为操作日志和审核日志)查看提交到 Azure 订阅的所有操作。

后续步骤